Цена вопроса Стоимость Физическая защита Речевая информация Тех. каналы НСД Общесистемная защита Сканер безопасности Централизованное управление СЗИ Защита периметра МЭ VPN IDS/DLP Защита АРМ НСД антивирус 1

Сертификация Windows Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации по 5 классу защищенности, могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно при создании информационных систем персональных данных до 2 класса включительно. 2

Принципы классификации Составляется перечень типов ресурсов типы по тематике, функциональному назначению, сходности технологии обработки и т.п. признакам Для каждого типа ресурсов определяется степень важности по основным задачам СЗИ. Для каждого типа ресурсов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности. 3

Типовая структура Активное сетевое оборудование на границе зон может реализовывать: –Трансляцию адресов; –Фильтрацию трафика; –IDS; 4

ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ 5

Организационные меры. Организационные мероприятия Обучение сотрудников Организация рабочих мест в составе ИСПДн и мест хранения документов, отчуждаемых носителей информации Организация работы с обращениями граждан 6

Обучение сотрудников Цель: ознакомление с фактом и принципами работы с персональными данными, ответственность персонала Реализуется путем проведение общих инструктажей, разработки и ознакомления с инструкциями, проведением контроля в форме зачета или экзамена. Результат оформляется в виде подписанных листов ознакомления 7

АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ЗАЩИТЫ ИНФОРМАЦИИ

Политика безопасности формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации (RFC 2196). совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов (Основы информационной безопасности Галатенко В.А.)

набор документов описывающих состояние информационной безопасности и определяющий приоритетные задачи СЗИ. Политика безопасности

Структура политики безопасности Утвержденные модели Концепция информационной безопасности Корпоративные приказы и распоряжения. Перечень защищаемых объектов. Перечень лиц имеющих доступ к защищаемым объектам. Перечень используемого ПО и его настроек. Набор инструкций.

Модели Модель актуальных угроз Модель нарушителя

Концепция информационной безопасности Цели и задачи СЗИ Определение объекта защиты Подчиненность отдела защиты информации Принципы финансирования …

Корпоративные приказы О защите информации О назначении ответственного и/или создании группы защиты информации О классификации информации и/или информационных ресурсов О допуске исполнителей к обработке информации

Смежные документы Договор с работниками должен содержать раздел конфиденциальность Договора с контрагентами должны содержать обязательства о защите информации

Инструкции администратора безопасности; системного администратора; системного оператора; пользователя системы; инструкция по оперативному восстановлению системы.

Состав инструкций Определение объектов доступа. Определение прав. Определение порядка работы в штатной ситуации. Определение порядка действий в нештатных ситуациях

Перечень защищаемых объектов (программно-аппаратное обеспечение) Перечень используемого программного и аппаратного обеспечения. Конфигурация активного сетевого оборудования. Конфигурация программного обеспечения, версии и установленные исправления.

Перечень защищаемых объектов (информационные ресурсы) Перечень типов информационных ресурсов и их пользователей. Перечень кандидатов на присвоение грифа секретности. Перечень должностных лиц имеющих право на изменение статуса информационного ресурса.

Уровни разработки ПБ Программно- технический Процедурный Административный Общая концепция защиты Структура ИС, классификация Реализация методов Настройка политик и правил Новые технологии Анализ и варианты решения

Общие принципы СтратегияТактика Доступность защититься и продолжить, Целостность Восстановить и продолжить Конфиденциальность Выследить и осудить что явно не запрещено, то разрешено; что явно не разрешено, то запрещено.

Цели и задачи обеспечение уровня безопасности, соответствующего нормативным документам предприятия; следование экономической целесообразности в выборе защитных мер; обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС; обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации; выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы АС и др.

Жизненный цикл ИССЗИ Формирование требований к ИС Разработка концепции ИС Техническое задание Эскизный проект Технический проект Рабочая документация Ввод в эксплуатацию Сопровождение ИС Обследование объекта защиты. Выявление приоритетной задачи защиты. Построение политики безопасности Выбор элементов системы защиты информации. Инсталляция. Сопровождение.

Модели

Вопросы для модели Какие угрозы могут быть реализованы? Кем могут быть реализованы эти угрозы? С какой вероятностью могут быть реализованы эти угрозы? Каков потенциальный ущерб от этих угроз? Каким образом могут быть реализованы эти угрозы? Почему эти угрозы могут быть реализованы? На что могут быть направлены эти угрозы? Как можно отразить эти угрозы?

Зачем нужно моделирование угроз Систематическая идентификация потенциальных опасностей Систематическая идентификация возможных видов отказов Количественные оценки или ранжирование рисков Выявление факторов, обуславливающих риск, и слабых звеньев в системе Более глубокое понимание устройства и функционирование системы

Зачем нужно моделирование угроз Сопоставление риска исследуемой системы с рисками альтернативных систем или технологий Идентификация и сопоставление рисков и неопределенностей Возможность выбора мер и приемов по обеспечению снижения риска Основная задача моделирования окружения – обоснование решений, касающихся рисков

МОДЕЛИРОВАНИЕ ОКРУЖЕНИЯ Модель угроз

Риск Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов ГОСТ РИСО/МЭК Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам ДагХаббард

Как все устроено Фактически мы пытаемся описать процесс противодействия нарушителю используя наше понимание процесса

Модель угроз систематизированный перечень угроз безопасности при обработке информации в информационных системах. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающих условия для нарушения безопасности, которое ведет к ущербу жизненно важных интересов личности, общества и государства. (ФСТЭК России)

УПРАВЛЕНИЕ РИСКАМИ

Взаимосвязь элементов Модель угроз Управление рисками Структура СЗИ

Анализ рисков это процесс получения количественной и/или качественной оценки ущерба, который может понести предприятие в случае реализации угрозы информационной безопасности.

Методы оценки КоличественнаяКачественная (экспертная) Оценка адекватности затрат Оценка снижения рисков Оценка управления рисками Возможна при недостатке информации о системе Оценивает влияние человеческого фактора Неполные данные об инциденту

Общий алгоритм анализа рисков(I) выбор анализируемых объектов и определение степени детализации их рассмотрения; моделирование каналов утечки информации и НСД; оценка вероятности реализации угроз (установления информационного контакта); формирование облика (модели) нарушителя;

Общий алгоритм анализа рисков (II) оценка возможного развития событий в случае достижения целей нарушителем; оценка возможного ущерба (потерь); ранжирование угроз в соответствии с оценками риска; определение стратегии управления рисками; оценка эффективности мер по управлению рисками; подготовка экспертного заключения о защищенности информационных ресурсов.

ПОНЯТИЕ УЩЕРБА

Ущерб включает цену ресурса - затраты на производство; стоимость восстановления или создания нового ресурса; стоимость восстановления работоспособности организации (при работе с искаженным ресурсом, без него, при дезинформации); стоимость вынужденного простоя; стоимость упущенной выгоды; стоимость выплаты неустоек, штрафов; стоимость затрат на реабилитацию, престижа, имени фирмы; стоимость затрат на поиск новых клиентов, взамен более не доверяющих фирме; стоимость затрат на поиск (или восстановление) каналов связи, информационных источников.

Управление рисками Принятие риска Изменение характера риска Уклонение от риска Уменьшение риска

Возможные реализации Угрозы, обусловленные действиями субъекта (антропогенные угрозы) Кража, подмена, уничтожение (носители информации, пароли, СВТ) и т.д. Угрозы, обусловленные техническими средствами (техногенные угрозы) нарушение работоспособности, старение носителей информации, уничтожение… и т.д. Угрозы, обусловленные стихийными источниками Исчезновение персонала, уничтожение помещений и т.п.

МОДЕЛИРОВАНИЕ ОКРУЖЕНИЯ Моделирование угроз на разных этапах жизненного цикла

Этап проектирования Выявление главных источников риска и предполагаемых факторов, влияющих на риск Предоставление исходных данных для оценки системы в целом Определение и оценка возможных мер безопасности Предоставление исходных данных для оценки потенциально опасных действий и систем Обеспечение соответствующей информации при проведении ОКР Оценка альтернативных решений

Этап эксплуатации и техобслуживания Контроль и оценка данных эксплуатации Обеспечение исходными данными процесса разработки эксплуатационной документации Корректировка информации об основных источниках риска и влияющих факторах Предоставление информации по значимости риска для принятия оперативных решений Определение влияния изменений в оргструктуре, производстве, процедурах эксплуатации и компонентах системы Подготовка персонала

Этап вывода из эксплуатации Предоставление исходных данных для новой версии системы Корректировка информации об основных источниках риска и влияющих факторах

МОДЕЛИРОВАНИЕ ОКРУЖЕНИЯ Стратегии анализа рисков

Стратегии анализа риска БазовыйНеформальныйДетальныйКомбинированный Источник: ГОСТРИСО/МЭКТО (ISO\IECTR )

Базовый подход Принятие усредненного значения риска для всех систем Выбор стандартных средств защиты Сложно применим в организациях с системами разного уровня критичности, разными видами конфиденциальной информации Достоинства Минимум ресурсов Унификация защитных мер Недостатки Завышение или занижение уровня риска

Неформальный подход Проведение анализа, основанного на практическом опыте конкретного эксперта Недостатки Увеличивается вероятность пропуска важных деталей Трудности при обосновании защитных мер Возможна низкая квалификация эксперта Зависимость от субъективности или увольнения эксперта Достоинства Не требует значительных средств и времени

Детальный подход Детальная идентификация и оценка активов, оценка угроз, оценка уровня уязвимости активов и т.д. Недостатки Значительные финансовые, временные и людские ресурсы Вероятность опоздать с выбором защитных мер из-за глубокого анализа Достоинства Адекватный выбор защитных мер

Комбинированный подход Предварительный анализ высокого уровня для всех систем с последующей детализацией для наиболее критичных для бизнеса систем и использованием базового подхода для менее критичных систем Достоинства Быстрая оперативная оценка систем с последующим выбором адекватного метода анализа рисков Оптимизация и эффективность использования ресурсов Недостатки Потенциальная ошибочность отнесения систем к некритичным для бизнеса